网络安全 频道

企业客户端补丁管理框架

测试限制
有一些重要的东西在我们的测试中不能完全体现出来,而这些东西可以影响产品在市场上的成败:
    补丁分发的可靠性,由于产品自身的特性、网络复杂性和客户端情况的复杂性,不可能有100%的补丁分发成功率,但是成功度的高低和后续的补救处理方式等,对产品的可靠性影响非常大,而可靠性在很大程度上决定了一个产品的生命。例如:DLL版本的关联、病毒或者蠕虫对文件的改变等可能使得补丁管理程序不能正确判断是否需要进行补丁升级,或者判断正确但是进行补丁升级却遭到失败,在这个时候,就需要产品具备适当的补救措施或者至少给出日志并提供有益的建议。
    漏报和误报问题,客户端是否需要进行补丁升级,需要升级什么补丁,依赖于补丁管理软件的检测,由于客户端OS软件的版本众多、补丁情况各异、操作环境的复杂以及DLL的依赖关系。检测必然产生漏报和误报问题,如果情况比较严重,特别是,如果在中文环境下情况比较严重,会影响客户的补丁管理工作并且对软件没有信心。
    流量控制,这里主要关心的是如何避免在流量高峰期进行补丁升级,客户端如何进行断点续传的问题。大型企业的网络资源通常是紧张的,管理员非常关心如何对网络带宽进行合理的分配和利用,补丁管理产品作为一个辅助工具,理所应当能够进行流量控制,为关键业务让路。
    补丁升级执行故障,客户端可能由于病毒或者蠕虫感染等各种原因导致补丁升级失败,失败可能产生很多不良后果,特别是可能会产生僵死的进行,白白消耗客户端资源,这些情况到底有多少,如何解决,应该有一个说法,否则,也会招致客户端的抱怨。
    补丁管理程序自身的补丁问题,补丁管理软件自身也是软件,也有需要打补丁的可能,客户不可能容许使用困难的方法来升级或者修补补丁管理程序,而会要求平滑的和自动化的升级和修补过程,并且会要求这个自动化的过程就是由补丁管理程序自身来完成。
    服务器与客户端之间通信的安全性,补丁管理程序有2类通信,一类是与互联网上存放补丁的服务器联系,获取补丁,这里关系到服务器安全和可靠的获取补丁的问题,一类是服务器与客户端通信,这里关系到客户端能够从服务器安全和可靠的获取补丁的问题。
测试要素表
一个面对企业的补丁管理产品,除了关键功能外,必定需要适应企业网络环境的补充功能,才能为企业提供合适的补丁服务和管理,因此,补丁管理产品测试要素表内容如下:

    XXXX产品    XXXX产品
软件版本        
软件安装        
在线帮助        
产品架构        
产品部署简单性        
产品部署伸缩性        
分权管理        
管理界面(MMC/WEB)        
扫描方式        
扫描定制        
扫描精确性        
定制客户端组        
失败/回滚机制        
中文的兼容性        
是否需要域结合        
基于agent        
补丁管理        
补丁下载        
补丁存储        
补丁分发        
支持OS补丁        
支持应用软件安全补丁        
支持其他非安全补丁        
支持软件部署        
支持定制的部署        
支持系统重启定制        
支持补丁传输压缩        
支持补丁断点续传        
补丁详细的信息和分析        
定制管理信息        
支持中文平台的补丁        
其他        
覆盖面        
支持Windows平台        
支持第三方软件        
支持UNIX        
支持其他平台        
帮助支持        
在线帮助        
文档、厂商支持        
厂商自身实力        
安全特性        
服务器/客户端加密连接        
界面/服务器连接加密        
对补丁的签名/校验        
其它安全措施        
数据库种类        
SQL server        
Access        
其他数据库        
可以使用中文数据库        
报告特性        
提供的报告数量        
报告是否可以图形化        
报告是否可以订制        
报告是否可以导出        
是否提供中文报告        




第六章    补丁管理产品简介
作为专业的安全公司,加安公司早在2002就开始关注补丁管理领域的解决方案。我们测试了在该领域中几乎所有具有代表性的产品,其中包括IBM的Tivoli,LANDesk的Management Suite,微软的SMS2003,SUS,PatchLink的Patchlink Update以及St.Bemard Software的UpdateExpert等等。经测试的产品虽然不是全部的补丁管理的产品,却很好的覆盖了该领域,遗憾的是对于Patchlink Update以及UpdateExpert这两个国外专业的补丁管理产品,虽然在功能非常强大也十分专著,但是由于中文支持问题。暂时无法在中文平台中正常使用。下面我们将对几个最有代表性的产品进行简单介绍。

IBM Tivoli
Tivoli配置管理器的软件分配功能允许您为您的企业部署软件以及系统补丁,对那些需要快速、集中地进行补丁部署的客户而言,它是一款关键的解决方案。软件部署生命周期包括很多步骤,而Tivoli配置管理器通过其阶段管理模式可以帮助您管理这些步骤。从打包、规划、管理到交付、安装、生成报告,Tivoli配置管理器在每个阶段都能为您提供所需的工具。
Tivoli Configuration Manager能让您对企业软件和硬件进行全面控制。它的软件分配模式能让您在中心点快速有效地为多个位置部署复杂的关键任务应用程序。系统部署完成之后,它的清单模式能自动扫描并收集企业中计算机系统的硬件和软件的配置信息。
Tivoli Configuration Manager使用的是由客户端,服务器,后台数据库,控制台组成的统一多层次的管理架构。架构图如下:

Tivoli软件分发采用策略(profile)的方式,在管理策略中制订需要完成的工作:当制订完策略后(Profile),管理人员可以拖、放到相应对象的图标上,对象可以是一个管理节点、一群Windows2000的PC、一个部门的所有被管理节点等等,Tivoli Framework会根据策略被分发对象的不同属性来实施执行操作。Tivoli的补丁分发使用广域网优化技术,交易机制分发技术,多路分发技术三种核心技术。 分发流程图如下:

1.    对各个客户端安装补丁的情况进行资产收集,将未安装补丁的客户端作为分发的对象。
2.    创建相应的客户端组,对部署进行初步规划。
3.    自动创建微软安全补丁的软件包:Tivoli Configuration Manager自动对微软安全补丁进行打包
4.    自动分发微软安全补丁包:Tivoli Configuration Manager自动向未安装补丁的客户端分发安全补丁包。

Tivoli Configuration Manager主要功能包括:
1.    补丁管理
2.    软件分发
3.    资产管理
4.    操作系统“无接触”安装
5.    带宽优化,多点广播
6.    支持广泛的硬件类型
7.    扩展性强,能与企业目录结合。
8.    支持异构环境的管理



LANDesk
LANDesk成立于1985年,起源于LAN Systems公司,后被INTEL收购,成为英特尔的软件部门,2002年9月,由于软件业务的不断增长,INTEL联合风险投资商共同投资,LANDesk成为独立软件供应商。
LANDesk SOFTWARE作为IT桌面设备管理行业的领导厂商,开发和提供领先的桌面设备、服务器和移动设备管理的软件与服务。LANDesk管理套件作为一个完全集成的模块化软件,拥有IT资产管理、软件分发及修复、OS分发及配置迁移,软件许可监控、远程帮助以及补丁管理器、服务器管理器等多个模块和插件。这些模块能实现企业IT设备全生命周期管理并且在企业信息资源管理系统发生意外损失时,能将损失减少到最低点,同时最大程度的提高IT的投资回报。
LANDesk管理套件是“服务器-代理-控制台”三层架构软件, 代理分布在所有需要管理的终端桌面上,服务器和控制台可以安装在同一台服务器上,也可以分处于不同的物理位置。


补丁管理器能够依据业界标准的信息源主动的扫描所有联网资产:硬件、软件、网络地址、结构以及连接的PDA、打印机等外围设备,并对联网资产进行评估,安全漏洞能够直接在控制台上查看评估结果,并且按漏洞、平台、应用程序或者单独计算机来进行划分并帮助您自定义的应用程序、策略以及安全需要设计您的修补计划。LANDesk全球补丁服务中心提供所有补丁程序,一旦用户设定补丁修补计划,客户端从它那里得到与每个漏洞相关的补丁。LANDesk 管理套件已定义近100种各类型报表,能够随时以报表的方式展示所有资产信息,并与Crystal report紧密集成,由用户自定义报表类型。同时,LANDesk支持以WEB方式展示报表内容。
LANDesk产品主要功能
    保持最新的安全补丁和病毒更新
    高效的安装和维护桌面软件
    减少软件许可证的费用以及响应审计的要求
    降低支持中心费用
    自动的发现和管理软硬件资产
    向新操作系统迁移用户和配置信息




SMS
SMS是微软提供的面向企业的网络管理软件,它是基于Windows 2000动态目录管理,适用于大型企业。它能够协助系统管理员轻松收集企业内部计算机硬件配置和所安装的软件清单,准确判断哪些机器需要更新,哪些机器可以运行新的软件。SMS提供了远程故障处理工具,很大程度上减少企业维护成本。SMS提供160种报告模板,管理员可以根据需要生成所需的报告,协助管理员的系统文档管理。
  Systems Management Server 2003使用扩展的分布式、层级化体系结构。主要包括:主控站点服务器,辅助站点服务器,管理点,客户端访问点以及分配点。
主控站点服务器:负责对SQL Server数据库中的信息存储实施管理。
辅助站点服务器:主要充当所需维护水平较低的受控系统远程代理。
管理点:为高级客户端提供站点服务器接口。所有客户端策略都将通过管理点被传递给高级客户端。
客户端访问点:使用标准客户端的计算机将通过客户端访问点与它们的站点服务器进行通信。
分配点:任何Windows服务器均可充当分配点,因为这个角色仅负责基于Windows共享或通过前述BITS协议提交分配软件包。

使用SMS进行补丁管理主要四个步骤组成,评估,确认,计划,部署。
评估:通过SMS2003,管理员可以发现和盘点现有的资产,包括详细软硬件的版本和类型。检测资产的安全威胁和漏洞,确定软件更新非常好的的信息源,评估现有的软件分发基础结构,评估其操作效力。
确认:SMS2000使用Microsoft 基线安全分析器 (MBSA) 扫描漏洞。MBSA也可以扫描指定域中的所有计算机,以查找缺少的和已安装的软件更新。这些扫描结果可以用来确定和发现您环境中缺少的软件更新。您还可以使用 SMS 2003 中软件更新功能组件扫描并报告您的环境中缺少的和已安装的软件更新。SMS 2003的报告会显示一个列表,它列出了所有已经安装的或可以安装的软件更新以及它们的相关信息。它还列出了缺少软件更新的计算机数量,以及已经安装了软件更新的目标计算机数量方便管理员确认。
计划:规划补丁的分类以及优先级,使用分发软件更新向导程序,创建分发和安装软件更新所需的 SMS 程序包和并制定自动更新安装计划。
部署:使用 SMS 2003 的向导把生成程序包部署到相应的客户端,并使用报告确定计算机或目标组的更新部署是否成功。

SMS2003的主要功能:
    计算机资产管理
    自动软件及补丁分发
    集成及扩充了Active Directory
    移动支持与带宽管理
    远程管理
    强大的WEB报告功能


SUS
微软的Software Update Services (SUS) 是微软为客户提供的,致力于帮助用户对基于 WIN2000/XP/2003 等机器快速部署最新的重要更新和安全更新的免费软件。SUS由服务器组件和客户端组成。 服务器组件负责软件更新服务,称为 SUS 服务器,用于安装在公司内网的Windows 2000或Windows2003的服务器上。服务器提供通过基于 Web 的工具管理和分发更新的管理功能。而客户端组件就是微软的自动更新服务(Automatic Updates),负责接收从服务器中产品更新的计算机上运行。
使用SUS进行补丁管理也有四个步骤组成,评估,识别,计划,部署。
评估:SUS提供标准合并报告,管理员可以在报告的基础上进行评估。这些报告提供与 SUS 服务器联系的计算机列表,然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。
确认:通过SUS管理工具允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update服务器同步,可以设置自动同步 SUS 服务器的计划,创建计算机目标组以及确定要下载和安装到这些组的更新,运行预先部署检查和安排自动更新安装计划。
计划:设置自动同步 SUS 服务器的计划,创建计算机目标组以及确定要下载和安装到这些组的更新,运行预先部署检查和安排自动更新安装计划。
部署:通过 SUS 管理工具,管理员可以指定计算机的目标组并确定要部署到这些组的更新并要建立更新应用至产品的顺序。管理员最后使用报告确定计算机或目标组的更新部署是否成功。

SUS主要功能
1.    自动检测、下载和安装适用更新
2.    用户可用的计划和通知选项
3.    使用Microsoft 签名的特定内容
4.    扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持
5.    自动排列优先级和下载重要更新
6.    通过后台智能传输服务 (BITS) 技术提高带宽效率
7.    改进了报告能力,使管理员能够监视更新部署状态和服务器的正常运转
8.    SQL Server 引擎用作 SUS 2.0 数据知识库 http://netadmin.77169.com/HTML/20040923011500.html
0
相关文章